비디오: KTìì´ë¸ë¡, CJì¼ì´ë¸ë· ë± ì´íë¡ì§ ì¤í ë¦¬ì§ ì±ê³µ êµ¬ì¶ ì¬ë¡ (십월 2024)
스위스 Infosec 회사 인 High-Tech Bridge는 작년에 Yahoo를 버그 바운티로서 티셔츠 이상을 제공하도록함으로써 뉴스를 만들었습니다. 그러나 이런 종류의 연구는 HTB 연구원들이 매일하는 일이 아닙니다. 그들의 주요 초점은 취약점을 식별하고 그들의 발견과 관련된 보안 권고를 발표하는 것입니다. 이 그룹은 2013 년에 62 개의 권고를 발표했으며 업계 응답 성이 전반적으로 개선되었습니다.
빠른 수리
방금 발표 된 HTB 보고서에 따르면, 공급 업체는보고 된 문제에 대한 패치를 2012 년보다 훨씬 빠르게 발표했습니다. 또한 "대부분의 공급 업체는 최종 사용자에게 공정하고 빠른 방식으로 취약점에 대해 경고했습니다." 문제를 자동으로 패치하거나 위험을 경시했습니다. 이 보고서는 열악한 보안 관행에 대해 Microsoft가 아닌 Mijosoft를 요청했습니다.
치명적인 취약점을 패치하는 데 걸리는 평균 시간은 2012 년 17 일에서 2013 년 11 일로 감소하여 크게 줄었습니다. 중간 위험 취약점은 29 일에서 13 일로 훨씬 나아졌습니다. 그것은 진전이지만 개선의 여지가 있습니다. 이 보고서는 "중요한 취약점을 패치하는 데 11 일이 걸리는 시간이 여전히 길다"고 지적합니다.
복잡성 증가
보고서에 따르면 악의적 인 사용자가 치명적인 취약점을 식별하고 악용하기가 점점 더 어려워지고 있습니다. 그들은 치명적인 취약점을 악용하는 것이 중요하지 않은 취약점 을 성공적으로 위반 한 후에 만 가능한 연쇄 공격과 같은 기술에 의존해야합니다.
2013 년에는 상당수의 취약점이 고위험 또는 중대 위험으로 다운 그레이드되었습니다. 특히, 이들은 공격자가 인증 또는 로그인 한 후에 만 수행 할 수있는 취약점입니다. 이러한 신뢰할 수있는 당사자 중 일부는 "실제로 적대적"일 수 있기 때문에 신뢰할 수있는 사용자가 액세스 할 수 있습니다.
사내 개발자는 보안에 특별한주의를 기울여야합니다. SQL 인젝션 및 사이트 간 스크립팅이 가장 일반적인 공격이며 사내 응용 프로그램은 이러한 공격의 가장 일반적인 희생자입니다 (40 %). CMS (콘텐츠 관리 시스템) 플러그인은 다음으로 30 %, 소규모 CMS는 25 %입니다. Joomla 및 WordPress와 같은 매우 큰 CMS의 위반은 큰 뉴스를 만들지 만 HTB에 따르면 총 5 % 만 차지합니다. 많은 블로깅 플랫폼과 CMS는 소유자가 완전히 패치를 유지하지 못하거나 제대로 구성하지 못해 취약한 상태로 남아 있습니다.
그렇다면 웹 사이트 나 CMS가 손상되지 않도록하려면 어떻게해야합니까? 이 보고서는 "자동 테스트와 사람의 수동 보안 테스트가 결합 된 경우 하이브리드 테스트"가 필요하다고 결론을 내 렸습니다. 하이테크 브리지가 정확히 이런 종류의 테스트를 제공한다는 사실을 알게 된 것은 놀라운 일이 아닙니다. 그러나 그들은 옳습니다. 실제 보안을 위해 좋은 사람들이 공격하고 수정해야 할 것을 보여주기를 원합니다.
